Изменено место хранения самоподписанного CA-сертификата и механизм перевыпуска сертификата.
Сертификат хранится в СУБД. Недопустимо применять прежний метод перевыпуска внутренних сертификатов через удаление сертификатов из файловой системы Ядра и перезапуск Ядра. Такой способ приведет к невозможности запустить Ядро. До завершения процесса перевыпуска сертификатов не следует подключать к Ядру новые сервисы.
После того как вы перевыпустите внутренние CA-сертификаты в разделе веб-интерфейса KUMA Параметры → Общие → Перевыпустить внутренние CA-сертификаты, необходимо остановить сервисы, удалить прежние сертификаты из директорий сервисов и вручную перезапустить все сервисы. Перевыпускать внутренние CA-сертификаты могут только пользователи с ролью Главный администратор.
Опция Перевыпустить внутренние CA-сертификаты доступна только пользователю с ролью Главный администратор.
Перевыпуск сертификатов для отдельного сервиса остается прежним: в веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы необходимо выбрать сервис, выбрать в контекстном меню Сбросить сертификат и удалить прежний сертификат в директории установки сервиса. KUMA автоматически сгенерирует новый сертификат. Для работающих сервисов перезапуск не требуется, новый сертификат будет применен автоматически. Если сервис был остановлен, необходимо перезапустить сервис, чтобы применить новый сертификат.
Чтобы перевыпустить внутренние CA-сертификаты:
В результате будут перевыпущены CA-сертификаты для сервисов KUMA и CA-сертификат для Clickhouse. Далее вам нужно будет остановить сервисы, удалить прежние сертификаты из директорий установки сервисов, перезапустить Ядро и перезапустить остановленные сервисы, чтобы применить перевыпущенные сертификаты.
sudo systemctl stop kuma-<collector/correlator/eventRouter>-<
ID сервиса
>.service
тип сервиса
>/<ID сервиса
>/certificates с помощью следующей команды:sudo rm -f /opt/kaspersky/kuma/<
тип сервиса
>/<
ID сервиса
>/certificates/internal.cert
sudo rm -f /opt/kaspersky/kuma/<
тип сервиса
>/<
ID сервиса
>/certificates/internal.key
sudo systemctl stop kuma-<storage>-<
ID сервиса
>.service
ID сервиса
>/certificates. sudo rm -f /opt/kaspersky/kuma/storage/<
ID сервиса
>/certificates/internal.cert
sudo rm -f /opt/kaspersky/kuma/storage/<
ID сервиса
>/certificates/internal.key
sudo rm -f /opt/kaspersky/kuma/clickhouse/certificates/internal.cert
sudo rm -f /opt/kaspersky/kuma/clickhouse/certificates/internal.key
sudo systemctl restart kuma-core-00000000-0000-0000-0000-000000000000.service
sudo k0s kubectl rollout restart deployment/core-deployment -n kuma
Перезапуск victoria-metrics при этом не потребуется.
Следует выполнять перезапуск Ядра с использованием команды, поскольку перезапуск Ядра через интерфейс KUMA влияет на перезапуск только контейнера Ядра, а не весь под целиком.
sudo systemctl start kuma-<collector/correlator/eventRouter/storage>-<
ID сервиса
>.service
sudo systemctl start kuma-victoria-metrics.service
Внутренние CA-сертификаты перевыпущены и применены.